Le troisième jour du concours de piratage Pwn2Own, les chercheurs en sécurité ont reçu 185 000 $ après avoir démontré 5 exploits zero-day ciblant Windows 11, Ubuntu Desktop et le logiciel de virtualisation VMware Workstation.
Le point culminant de la journée a été le système d’exploitation Ubuntu Desktop piraté trois fois par trois équipes différentes, bien que l’une d’elles ait été une collision avec l’exploit déjà connu.
Les trois versions zero-day d’Ubuntu fonctionnelles ont été présentées par Kyle Zeng d’ASU SEFCOM (un bogue double gratuit), Mingi Cho de Theori (une vulnérabilité Use-After-Free) et Bien Pham (@bienpnn) de Qrious Security.
Alors que les deux premiers ont chacun reçu 30 000 $ pour leurs exploits zero-day, Pham n’a gagné que 15 000 $ en raison d’une collision de bogues.
Un système Windows 11 entièrement corrigé a de nouveau été piraté chez Pwn2Own, Thomas Imbert (@masthoon) de Synacktiv (@Synacktiv) gagnant 30 000 $ pour un bogue Use-After-Free (UAF).
Enfin, l’équipe de STAR Labs (@starlabs_sg) a utilisé une variable non initialisée et une chaîne d’exploitation UAF contre VMWare Workstation pour une récompense de 80 000 $.
Le premier jour, les concurrents de Pwn2Own Vancouver 2023 ont gagné 375 000 $ et un Tesla Model 3 après avoir fait la démonstration de 12 jours zéro dans le Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox et macOS.
Au cours de la deuxième journée, les concurrents ont reçu 475 000 $ après avoir exploité 10 jours zéro dans plusieurs produits, dont Windows 11, Tesla, Ubuntu et macOS.
Cela porte le total à 1 035 000 $ et une voiture récompensée pour 27 exploits zero-day présentés au cours des trois jours du concours Pwn2Own Vancouver 2023 de cette année.
Les gagnants du concours sont Synacktiv, qui a gagné 530 000 $ et une voiture Tesla Model 3 pour leurs exploits.
Lors de Pwn2Own Vancouver 2023, les chercheurs en sécurité ont ciblé des logiciels de plusieurs catégories, notamment l’automobile, les applications et les communications d’entreprise, les serveurs, la virtualisation et l’élévation locale des privilèges (EoP).
« Pour l’événement de cette année, chaque tour paiera le prix fort, ce qui signifie que si tous les exploits réussissent, nous attribuerons plus de 1 000 000 USD », a déclaré.
Les fournisseurs ont 90 jours pour corriger les bogues du jour zéro présentés et divulgués lors de Pwn2Own avant que l’initiative Zero Day de Trend Micro ne publie les détails techniques.
Lors du concours de piratage Pwn2Own Vancouver de l’année dernière, les chercheurs ont reçu 1 155 000 $ après avoir piraté le système d’infodivertissement Tesla Model 3 et détruit Windows 11, Microsoft Teams et Ubuntu Desktop à l’aide de plusieurs bogues et chaînes d’exploit du jour zéro.